|
日本版SOX法対応評価フレーム
日本版SOX法が適用される2008年度に向け、企業には効果的なIT投資を適切なタイミングで行うことが求められています。日本ユニシスでは、すでに内部統制に関する情報を一元管理する新アーキテクチャとして「統制系」を発表、その文書化支援ツールとして『ACEEVIS®(エースエビス)』と、さらに業務プロセス管理基盤システム『ACEDAICOC®(エースダイコク)』を発表しています。今回ご提供する『日本版SOX法対応評価フレーム』は、金融庁の企業会計審議会内部統制部会による「財務報告に係る内部統制の評価及び監査に関する実施基準」に準拠するとともに、基盤である『ACEDAICOC』に格納された業務プロセス情報から、内部統制の有効性の評価と判断にいたる“PDCA&モニタリング”の作業サイクルをシームレスに実現するソリューションです。 企業経営者に求められる「評価」と「判断」とは金融庁の基準(※1)及び実施基準(※2)では、「経営者は、内部統制を整備・運用する役割と責任を有しており、財務報告に係る内部統制については、その有効性を自ら評価しその結果を外部に向けて報告することが求められる」とされています。つまり、「有効性を自ら評価する」ために、経営者は客観的な基準で「評価する範囲」を選定し、客観的な論拠をもって内部統制の有効性を評価し、客観的な基準に沿って「不備」のもたらす影響が「重要な欠陥に該当するか」を判断しなければならないのです。 そのため、経営者が内部統制の有効性に対する判断に責任を持つには、下図のような階層証明構造を構築する必要があります。しかし、仮に監査法人から重要な勘定科目の追加を指摘された場合、評価されるべき業務プロセスも追加され、また依存する全社的な内部統制、IT全般統制、IT業務処理統制も追加されたうえ、判断基準も再考しなければならなくなります。従って、もし手作業で階層証明構造を構築していた場合、「有効性の評価」に係る作業の「手戻り」は膨大なものになってしまうのです。
※1 「財務報告に係る内部統制の評価及び監査の基準」金融庁 企業会計審議会 平成19年2月15日、 
全社的な内部統制については、評価対象となる内部統制を分析し、また関係者への質問や記録の検証などの手続きによって評価することになります。この結果をふまえて、業務プロセスに係る内部統制の評価範囲と方法を決定します。業務プロセスに係る内部統制の評価については、対象となる業務プロセスを適切に把握した上で、虚偽記載が発生するリスクと、そのリスクを低減するための統制上の要点を識別し、個々の統制上の要点が適切に「整備」され、内部統制が整備された内容に従って運用された場合に、リスクを十分に低減できるものとなっているかどうかを評価します。そして、さらに内部統制が適切に「運用」されているかを知るため、サンプリングにより十分かつ適切な証拠を入手して運用状況を確認します。このような作業を実施するためには、「命題」を作成し、その「命題」に対するアセスメント(Assessment)を実施する、という機能が必要となります。アセスメント結果を集計したのちに、いかにして「不備」や「重要な欠陥」を認識するのかという点においても、さまざまな方法論が考えられます。1件でも検出されれば「不備」や「重要な欠陥」と認識するパターンもあれば、複数の検出から勘定科目への影響金額を積算して「不備」や「重要な欠陥」と認識するパターンもあります。これらの判断基準の設定により、自動的に「不備」や「重要な欠陥」と判断する機能も重要であり、経営者は基準を設定することで客観的な「階層証明構造」に責任を持つことになるのです。
内部統制の構築〜PDCA指向の構築・評価・判断・是正評価(Assessment)と判断(Evaluation)の仕組みをここまで明確にすることで、内部統制の有効性の評価に関するPDCAサイクルにおける「整備の進捗管理」と「有効・不備・重要な欠陥の数」のモニタリングだけではなく、「評価作業の進捗」のモニタリングについても可能になります。 実務における本格的な運用を想定すると、この「評価作業の進捗」の管理は、内部監査部門の重要な作業であると考えられます。また、「評価作業の順調な進捗」があってはじめて、「有効・不備・重要な欠陥の数」のモニタリングも意味のあるものになるといえるのです。 
虚偽表示リスクの評価手法について金融庁の実施基準においても「経営者は評価の範囲を決定した後に、当該範囲を決定した方法およびその根拠について、必要に応じて監査人と協議を行っておくことが適切である」と指摘されています。一方、すでに金融庁の実施基準とは別に、公認会計士協会は、2007年1月に監査・保証実務委員会研究報告第19号「重要な虚偽表示のリスクの評価手法」を公表しました。これは、公認会計士協会の監査基準委員会報告第27〜31号をふまえて重要な虚偽表示リスクを評価する方法と調書の書式をまとめた研究報告であり、プロセスや勘定科目の相関整理手法についても言及しています。こちらの報告書は監査人向けの実務に関する研究報告であり、強制力はありません。しかし、監査人との協議を円滑化するため、経営者はこの内容に十分に留意するべきだといえるでしょう。 
新しい内部監査のフレームワーク金融庁の実施基準にある「プロセスとITと勘定等の相関の対応付け」を理解していないと、フロー図とRCMと業務記述書の整備作業において「本質的な目的」を認識しないまま作業を進めることになり、作業の「手戻り」が頻発する原因になってしまいます。 また、この「対応付け」こそが階層証明構造の枠組みである、という見方もできます。つまり、「対応付け」を論理的に構築できない場合、評価すべき「統制上の要点」の抽出が必要十分なものにならないケースが出てくるということです。
新しい内部監査の業務機能構造の構築日本版SOX法対応は、単に業務処理統制の整備(フロー図、RCM、業務記述書を書く)だけのものではありません。全社的な内部統制、IT全般統制、IT業務処理統制などを統合的に整備し、自ら命題を起票してアセスメントを展開し、客観的な有効性の判断を実施していくものです。そして、その階層証明構造を整備する必要があります。
|
Copyright © 2012 Nihon Unisys, Ltd. All rights reserved.
